Tag: github

GitHub: nieautoryzowany dostęp do kont użytkowników -> przyznano nagrodę ~100 000zł

07 listopada 2019, 19:50 | Aktualności | komentarze 2
GitHub: nieautoryzowany dostęp do kont użytkowników -> przyznano nagrodę ~100 000zł

Ta podatność w GitHub-ie warta jest wspomnienia ze względu na kilka różnych ciekawostek. Całość dotyczy wydawałoby się bezpiecznego mechanizmu OAuth. Ale od początku, GitHub definiuje taki URL: https://github.com/login/oauth/authorize Realizuje on dwie funkcje – jeśli dostaniemy się tam GET-em otrzymujemy ekran logowania, z kolei POST wysyłany jest w momencie kiedy użytkownik…

Czytaj dalej »

Z GitHuba ciekną poufne dane aż (nie)miło. Wycieki można oglądać w czasie rzeczywistym.

26 września 2019, 11:14 | W biegu | 1 komentarz
Z GitHuba ciekną poufne dane aż (nie)miło. Wycieki można oglądać w czasie rzeczywistym.

Hasła, klucze API, pliki konfiguracyjne, pliki z hasłami i innymi poufnymi danymi.  W sumie około 120 tego typu ‚źródeł’. Czy te dane rzeczywiście są poufne? Wg ich właścicieli nie, bo udostępnili je publicznie na GitHub-ie (pozostaje pytanie czy w sposób świadomy). ‚Filmik’ z wycieków, realizowany w czasie rzeczywistym dostępny jest…

Czytaj dalej »

Github zacznie przydzielać numery CVE 

19 września 2019, 10:45 | W biegu | 0 komentarzy

Dzisiaj na oficjalnym twitterze GitHub pojawiła się informacja, że stali się CNA, czyli CVE Numbering Authority. Oznacza to, że badacze bezpieczeństwa będą mogli zwrócić się do serwisu w celu przydzielenia numerów CVE dla znalezionych podatności.  CVE to skrót od Common Vulnerabilities and Exposures i jest ogólnie przyjętym systemem katalogującym informacje…

Czytaj dalej »

Gentoo GitHub mirror zhackowany

29 czerwca 2018, 09:37 | W biegu | 0 komentarzy

Załoga Gentoo wydała wczoraj dość lakoniczne oświadczenie: Today 28 June at approximately 20:20 UTC unknown individuals have gained control of the Github Gentoo organization, and modified the content of repositories as well as pages there. We are still working to determine the exact extent and to regain control of the…

Czytaj dalej »

GitHub zapisywał hasła części użytkowników w plaintext

02 maja 2018, 11:19 | W biegu | 1 komentarz

Co ciekawe, na tragedię to nie wygląda, bo wg oświadczenia GitHuba problem dotknął „niewielką” liczbę użytkowników – co ważniejsze problem wyszedł na jaw podczas „regularnego audytu” zlecanego przez GitHub-a. Brawo więc za nie ukrywanie problemu. Firma oświadczyła również, że standardowo hasła przechowywane są w postaci hasha bcrypt, a do haseł…

Czytaj dalej »

Github automatycznie powiadamia o podatnościach w użytych bibliotekach

16 listopada 2017, 21:37 | W biegu | 0 komentarzy

Brzmi jak zautomatyzowany OWASP Dependency Check? Bo założenia są podobne – automatycznie informować o podatnościach w bibliotekach, których używamy w naszej aplikacji. Repozytoria publiczne mają automatyczne włączone powiadomienia, w repozytoriach prywatnych trzeba je samodzielnie włączyć. Na razie wspierany jest JavaScript / Ruby – w następnej kolejności ma być dodany Python (2018)….

Czytaj dalej »